Organizaciones internacionales de derechos digitales y ciberseguridad como Access Now, Lookout y SMEX han documentado una prolongada campaña de phishing móvil en formato hack‑for‑hire dirigida contra periodistas, activistas y funcionarios públicos en países de Oriente Medio y el Norte de África (MENA). Los indicios técnicos apuntan a una operación mercenaria con vínculos probables con intereses estatales indios y con el cluster de amenazas conocido como Bitter, activo en operaciones de ciberespionaje desde al menos 2022.
Phishing avanzado contra Apple ID, cuentas de Google y mensajería cifrada
Entre las víctimas se encuentran los periodistas egipcios y críticos del gobierno Mostafa Al-A’sar y Ahmed Eltantawy, quienes entre octubre de 2023 y enero de 2024 fueron objeto de múltiples ataques de spear phishing. El objetivo era secuestrar sus cuentas de Apple ID y Google, redirigiéndoles a páginas de inicio de sesión falsificadas donde se les solicitaban credenciales completas y códigos de autenticación de dos factores (2FA).
En otro incidente, un periodista libanés anónimo recibió en mayo de 2025 mensajes vía iMessage y WhatsApp que se hacían pasar por el soporte oficial de Apple. Los enlaces incluidos llevaban a sitios fraudulentos de “verificación de cuenta” diseñados para robar datos de Apple ID. Según SMEX, la campaña imitaba cuidadosamente comunicaciones de Apple y priorizaba la explotación de la ecosistema de Apple, aunque la infraestructura muestra también interés en usuarios de Telegram y Signal, lo que amplía de forma significativa la superficie de ataque.
Phishing de consentimiento OAuth 2.0 contra cuentas de Google
En el caso de Mostafa Al-A’sar, el ataque a su cuenta de Google se inició desde LinkedIn. Un perfil falso denominado “Haifa Kareem” le ofreció una oportunidad laboral y recopiló sus datos de contacto. Posteriormente, el 24 de enero de 2024, recibió un correo con una invitación a una supuesta reunión por Zoom, enlazada mediante un enlace acortado con Rebrandly que, en lugar de dirigir a Zoom, abría una pantalla de autorización OAuth de Google para una aplicación web sospechosa alojada en en-account.info.
Esta técnica se conoce como phishing de consentimiento OAuth. En lugar de robar directamente la contraseña, los atacantes persiguen que la víctima autorice un aplicativo malicioso a acceder a su correo, contactos, Google Drive y otros datos, utilizando la interfaz legítima de Google. Si el usuario ya está autenticado, solo ve una solicitud de permisos, lo que genera una falsa sensación de seguridad. El resultado es la obtención de tokens de acceso de larga duración que permiten el acceso a la cuenta incluso si se habilita 2FA, lo que convierte esta técnica en especialmente peligrosa y difícil de detectar.
Infraestructura maliciosa y vínculo con el spyware Android ProSpy
El análisis de la infraestructura reveló varios dominios clave, entre ellos com-ae[.]net, previamente vinculado a spyware para Android. De acuerdo con investigaciones de ESET, en octubre de 2025 este dominio se utilizó para alojar sitios que imitaban las páginas oficiales de Signal, ToTok y Botim, desde los que se distribuían los troyanos ProSpy y ToSpy, con foco en usuarios de Emiratos Árabes Unidos.
Uno de los subdominios, encryption-plug-in-signal.com-ae[.]net, se presentaba como un ficticio “complemento de cifrado” para Signal. Una vez instalado, el spyware era capaz de extraer contactos, SMS, metadatos del dispositivo y archivos almacenados localmente, convirtiendo el teléfono en una plataforma de vigilancia encubierta. Aunque en los tres casos de periodistas investigados no se han encontrado evidencias de instalación de malware, la coincidencia de dominios, técnicas y flujos de ataque sugiere que los mismos canales de phishing podrían emplearse para distribuir aplicaciones espía en fases posteriores.
Operación hack-for-hire y relación con el grupo Bitter y la malware Dracarys
Lookout concluye que se trata de una operación hack‑for‑hire, es decir, un servicio de intrusión por encargo, vinculado al cluster de amenazas Bitter, asociado por diversos analistas a actividades de ciberespionaje en beneficio de entidades estatales indias. La conexión se establece a través de la infraestructura: com-ae[.]net se relaciona con youtubepremiumapp[.]com, dominio que, según Cyble y Meta (agosto de 2022), fue utilizado por Bitter para propagar la malware Android Dracarys mediante falsos sitios de YouTube, Signal, Telegram y WhatsApp.
Los investigadores destacan similitudes técnicas entre Dracarys y el más reciente ProSpy: ambos implementan una lógica de ejecución basada en “workers” y emplean comandos C2 numerados para controlar los dispositivos comprometidos. ProSpy está desarrollado en Kotlin, mientras que Dracarys utilizaba Java, y difieren los prefijos de los endpoints del servidor de mando y control (“v3” frente a “r3”), pero el modelo de protocolo de control es coherente, lo que sugiere una evolución de herramientas dentro de un mismo ecosistema operativo.
Por qué el phishing móvil y el spyware son críticos para periodistas y defensores de derechos
Los teléfonos inteligentes se han convertido en el principal vector de entrada en operaciones de ciberespionaje contra periodistas, ONG y activistas. Concentran comunicaciones personales y profesionales, códigos de 2FA, mensajería cifrada y documentos sensibles. Experiencias documentadas por entidades como Citizen Lab y Amnistía Internacional muestran que el espionaje móvil contra la sociedad civil ya no es una excepción, sino un patrón recurrente en múltiples regiones.
Esta campaña ilustra tres tendencias clave: la sofisticación de la ingeniería social (uso de LinkedIn, iMessage y WhatsApp con escenarios creíbles como ofertas de empleo o verificaciones de cuenta); el abuso de tecnologías legítimas como OAuth 2.0 y páginas auténticas de Google y Apple, que reducen la eficacia de los filtros tradicionales de phishing; y la consolidación de un mercado de servicios de espionaje digital hack‑for‑hire, que permite a clientes públicos y privados externalizar capacidades ofensivas y diluir su responsabilidad.
Para mitigar estos riesgos, se recomienda a periodistas, activistas y organizaciones: adoptar llaves de seguridad físicas o passkeys para cuentas de Google y Apple; revisar periódicamente dispositivos conectados y aplicaciones con acceso autorizado, revocando aquellos sospechosos; desconfiar de enlaces recibidos por mensajería y redes sociales, especialmente si invocan “soporte técnico” o “verificación urgente”; restringir la instalación de apps fuera de las tiendas oficiales y aplicar un control estricto de permisos en Android e iOS; e incorporar formación específica en phishing dirigido en redacciones, bufetes y ONG.
La operación analizada confirma que el ciberespionaje móvil contra la sociedad civil en la región MENA se está normalizando. Fortalecer la higiene digital, profesionalizar los procedimientos de respuesta a incidentes y exigir mayores garantías a proveedores tecnológicos son pasos esenciales para reducir la eficacia de campañas de phishing y spyware mercenario. Cuanto antes se integren estas prácticas como estándar en el trabajo periodístico y de derechos humanos, más difícil será para grupos hack‑for‑hire y actores estatales utilizar la tecnología como herramienta de vigilancia y silenciamiento.
